根据MDN,如果 Content-Type 是以下任意一种,则不会预检 POST 请求application/x-www-form-urlencoded
, multipart/form-data
, or text/plain
.
但不是multipart/form-data
完全一样不安全application/xml
?例如,我期望对 url 进行跨源 POST 请求http://bank.com/money-orders/
始终被禁止,无论端点接受什么内容类型。
Because: Before CORS was ever even conceived of, it was possible to send a cross-origin POST request just by, e.g., a Web page from one origin sending to another origin the results from a user filling out a form on page at one origin and clicking a Submit button to send it to another origin.
因此,基本上,CORS 不会改变这种行为——它不会阻止或禁止这种行为,因为在 CORS 出现之前,这种行为就已经是可能并被允许的。
但当时,无法在此类 POST 请求中发送自定义标头。但 CORS 使得做到这一点成为可能——发出服务器以前从未见过或必须处理的新型请求。因此,预检的目的基本上是对服务器说,这是这种新型的 POST(或 GET),您必须表明您选择加入并同意(或新方法)。
但是,如果 POST 请求与 Web 上基本上一直允许的简单 POST 请求没有任何不同,则无需向服务器发出提示。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)